- Start
- /
- Artikel
Netwerk- en beveiligingsvereisten voor speciale instanties
De netwerk- en beveiligingsvereisten voor de oplossing van een toegewezen exemplaar is de gelaagde benadering van de functies en functionaliteit die beveiligde fysieke toegang, netwerk, eindpunten en Cisco UC-toepassingen bieden. Het beschrijft de netwerkvereisten en vermeldt de adressen, poorten en protocollen die worden gebruikt voor het verbinden van uw eindpunten met de services.
Netwerkvereisten voor toegewezen exemplaar
Webex Calling speciale exemplaar maakt deel uit van het Cisco Cloud Calling-portfolio, mogelijk gemaakt door de Cisco Unified Communications Manager (Cisco Unified CM)-samenwerkingstechnologie. Een speciale instantie biedt oplossingen voor spraak, video, berichten en mobiliteit, met de functies en voordelen van Cisco IP-telefoons, mobiele apparaten en desktopcl clients die veilig verbinding maken met het speciale exemplaar.
Dit artikel is bestemd voor netwerkbeheerders, vooral firewall- en proxybeveiligingsbeheerders die speciale instantie binnen hun organisatie willen gebruiken.
Beveiligingsoverzicht: Beveiliging in lagen
Speciale instantie gebruikt een layered-aanpak voor beveiliging. De laag omvat:
-
Fysieke toegang
-
Netwerk
-
Eindpunten
-
UC-toepassingen
In de volgende gedeelten worden de beveiligingslaag in implementaties van speciale instanties beschreven.
Fysieke beveiliging
Het is belangrijk om fysieke beveiliging te bieden voor equinix Meet-Me-ruimte-locaties en datacentervoorzieningen van cisco-speciale instantie. Wanneer de fysieke beveiliging wordt aangetast, kunnen eenvoudige aanvallen zoals onderbreking van de service door het uitschakelen van de schakelaars van een klant worden gestart. Met fysieke toegang kunnen aanvaller toegang krijgen tot serverapparaten, wachtwoorden herstellen en toegang krijgen tot switches. Fysieke toegang maakt geavanceerdere aanvallen mogelijk, zoals man-in-the-middle-aanvallen. Daarom is de tweede beveiligingslaag, de netwerkbeveiliging, essentieel.
Zelfversleutelingsstations worden gebruikt in speciale datacenters voor instanties die UC-toepassingen hosten.
Meer informatie over algemene beveiligingspraktijken vindt u in de documentatie op de volgende locatie: https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/index.html.
Netwerkbeveiliging
Partners moeten ervoor zorgen dat alle netwerkelementen zijn beveiligd in de infrastructuur van speciale instanties (die verbinding maakt via Equinix). Het is de verantwoordelijkheid van de partner om de beste werkwijzen voor de beveiliging te waarborgen, zoals:
-
Scheid VLAN voor spraak en data
-
Poortbeveiliging inschakelen, waarmee het aantal TOEGESTANe MAC-adressen per poort wordt beperkt, ten opzichte van de CAM-tabel
-
Ip-bronveilige adressen tegen spoofing-IP-adressen
-
Dynamic ARP Inspection (DAI) bekijkt adresresolutieprotocol (ARP) en inbreuk op ARP (GARP) voor overtredingen (tegen ARP spoofing)
-
802. beperkt1x de netwerktoegang tot verificatieapparaten op toegewezen VLAN's (telefoons ondersteunen 802.1x)
-
Configuratie van servicekwaliteit (Quality of Service, QoS) voor de juiste markering van spraakpakketten
-
Firewallpoortconfiguraties voor het blokkeren van ander verkeer
Beveiliging van eindpunten
Cisco-eindpunten ondersteunen standaard beveiligingsfuncties zoals ondertekende firmware, beveiligde opstartfuncties (geselecteerde modellen), geïnstalleerd certificaat van fabrikant (MIC) en ondertekende configuratiebestanden, die een bepaald beveiligingsniveau voor eindpunten bieden.
Daarnaast kan een partner of klant extra beveiliging inschakelen, zoals:
-
IP-telefoonservices (via HTTPS) coderen voor services zoals Toestelmobiliteit
-
Uitgifte lokaal belangrijke certificaten (LCS's) vanuit de functie persoonsgegevens van de certificeringsinstantie (CAPF) of een openbare certificeringsinstantie (CA)
-
Configuratiebestanden coderen
-
Media en signalering coderen
-
Schakel deze instellingen uit als ze niet worden gebruikt: PC-poort, PC Voice VLAN-toegang, BRP(-in) ( internettoegang, instellingenknop, SSH, console)
De implementatie van beveiligingsmechanismen in het speciale exemplaar voorkomt identiteitsdiefstal van de telefoons en de Unified CM-server, gegevens geknoeid en gesprekssignalering/mediastream geknoeid.
Speciale instantie via het netwerk:
-
Brengt geverifieerde communicatiestromen tot stand en behoudt deze
-
Tekent bestanden digitaal voor overdracht van het bestand naar de telefoon
-
Codeer mediastreams en gesprekssignalering tussen Cisco Unified IP-telefoons
Beveiliging biedt standaard de volgende automatische beveiligingsfuncties voor Cisco Unified IP-telefoons:
-
Ondertekening van de telefoonconfiguratiebestanden
-
Ondersteuning voor de codering van het telefoonconfiguratiebestand
-
HTTPS met Tomcat en andere webservices (MIDservices)
Voor Unified CM versie 8.0 later worden deze beveiligingsfuncties standaard aangeboden zonder dat de CTL-client (Certificate Trust List) wordt uitgevoerd.
VertrouwensverificatieserviceOmdat er een groot aantal telefoons in een netwerk en IP-telefoons beperkte geheugen hebben, fungeert Cisco Unified CM als een externe trust store via de Trust Verification Service (TVS) zodat er geen store voor vertrouwde certificaten op elke telefoon hoeft te worden geplaatst. De Cisco IP-telefoons nemen voor verificatie contact op met de TVS-server omdat ze geen handtekening of certificaat kunnen verifiëren via CTL- of ITL-bestanden. Een centrale trust store is eenvoudiger te beheren dan de trust store op elke vertrouwde store op Cisco Unified IP-telefoon.
MET TVS Cisco Unified IP-telefoons toepassingsservers verifiëren, zoals EM-services, directory en MIDlet, tijdens het gebruik van HTTPS.
Initiële vertrouwde lijstHet ITL-bestand (Initial Trust List) wordt gebruikt voor de eerste beveiliging, zodat de eindpunten de CM Cisco Unified vertrouwen. ITL heeft geen beveiligingsfuncties nodig om expliciet te worden ingeschakeld. Het ITL-bestand wordt automatisch gemaakt wanneer het cluster wordt geïnstalleerd. De privésleutel van de Unified CM Trivial File Transfer Protocol-server (TFTP) wordt gebruikt om het ITL-bestand te ondertekenen.
Wanneer de Cisco Unified CM-cluster of -server zich in de niet-beveiligde modus heeft, wordt het ITL-bestand gedownload op elke ondersteunde Cisco IP-telefoon. Een partner kan de inhoud van een ITL-bestand weergeven met de CLI-opdracht, admin:show itl.
Voor Cisco IP-telefoons is het ITL-bestand nodig om de volgende taken uit te voeren:
-
Veilig communiceren met CAPF, een vereiste voor ondersteuning van de codering van het configuratiebestand
-
De handtekening van het configuratiebestand verifiëren
-
Verifieert toepassingsservers, zoals EM-services, directory en MIDlet tijdens HTTPS-gebruik met TVS
Apparaat-, bestands- en signaleringsverificatie vertrouwen op het maken van het CTL-bestand (Certificate Trust List), dat wordt gemaakt wanneer de partner of klant de Cisco Certificate Trust List-client installeert en configureert.
Het CTL-bestand bevat vermeldingen voor de volgende servers of beveiligingstokens:
-
Beveiligings token systeembeheerder (SAST)
-
Cisco CallManager en Cisco TFTP-services die worden uitgevoerd op dezelfde server
-
Functie Certificate Authority Proxy (CAPF)
-
TFTP-server(s)
-
ASA-firewall
Het CTL-bestand bevat een servercertificaat, openbare sleutel, serienummer, handtekening, naam van de verlener, onderwerpnaam, serverfunctie, DNS-naam en IP-adres voor elke server.
Telefoonbeveiliging met CTL biedt de volgende functies:
-
Verificatie van gedownloade TFTP-bestanden (configuratie, locale, bellijst, bijvoorbeeld) met behulp van een ondertekeningssleutel
-
Codering van TFTP-configuratiebestanden met behulp van een ondertekeningssleutel
-
Gecodeerde gesprekssignalering voor IP-telefoons
-
Gecodeerde gespreksaudio (media) voor IP-telefoons
Speciale instantie biedt eindpuntregistratie en gespreksverwerking. De signalering tussen uw Cisco Unified CM en eindpunten is gebaseerd op Secure Skinny Client Control Protocol (SCCP) of SIP (Session Initiation Protocol) (SIP) en kan worden gecodeerd met Transport Layer Security (TLS). De media van/naar de eindpunten zijn gebaseerd op realtime transportprotocol (RTP) en kunnen ook worden gecodeerd met veilige RTP (SRTP).
Door het inschakelen van de gemengde modus op Unified CM is de codering van de signalering en mediaverkeer van en naar De Cisco-eindpunten mogelijk.
Beveiligde UC-toepassingen
Gemengde modus inschakelen in Dedicated InstanceGemengde modus is standaard ingeschakeld in het toegewezen exemplaar.
Door het inschakelen van de gemengde modus in een speciaal exemplaar is het mogelijk om codering van de signalering en het mediaverkeer van en naar de Cisco-eindpunten uit te voeren.
In Cisco Unified CM-release 12.5(1) is een nieuwe optie toegevoegd voor het inschakelen van codering van signalering en media op basis van SIP OAuth in plaats van de gemengde modus/ CTL voor Jabber- en Webex-clients. Daarom kunnen in Unified CM-versie 12.5(1) SIP OAuth en SRTP worden gebruikt om codering voor signalering en media in te stellen voor Jabber- of Webex-clients. Het inschakelen van de gemengde modus is momenteel vereist voor Cisco IP-telefoons en andere Cisco-eindpunten. Er is een plan om ondersteuning voor SIP OAuth toe te voegen aan 7800/8800-eindpunten in een toekomstige versie.
Beveiliging van spraakberichtenCisco Unity Connection via de TLS-poort verbinding maken met Unified CM. Wanneer de apparaatbeveiligingsmodus niet beveiligd is, maakt Cisco Unity Connection via de SCCP-poort verbinding met Unified CM.
Om beveiliging te configureren voor Unified CM-spraakberichtenpoorten en Cisco Unity-apparaten met SCCP- of Cisco Unity Connection-apparaten met SCCP, kan een partner een veilige apparaatbeveiligingsmodus voor de poort kiezen. Als u een geverifieerde voicemailpoort kiest, wordt er een TLS-verbinding geopend waarmee de apparaten worden geverifieerd via een gemeenschappelijke certificaat-exchange (elk apparaat accepteert het certificaat van het andere apparaat). Als u een gecodeerde voicemailpoort kiest, verifieert het systeem eerst de apparaten en verzendt het vervolgens gecodeerde spraakstreams tussen de apparaten.
Raadpleeg voor meer informatie over de beveiliging van spraakberichtenpoorten: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1_SU1/cucm_b_security-guide-125SU1/cucm_b_security-guide-for-cisco-unified125SU1_chapter_010001.html
Beveiliging voor SRST, trunks, gateways, CUBE/SBC
Een gateway Cisco Unified overgebleven externe sitetelefonie (SRST) biedt beperkte gespreksverwerkingstaken als de Cisco Unified CM op een speciaal exemplaar het gesprek niet kan voltooien.
Beveiligde SRST-gateways bevatten een zelf-ondertekend certificaat. Nadat een partner SRST-configuratietaken in Unified CM Administration uitvoert, gebruikt Unified CM een TLS-verbinding om te verifiëren bij de service voor certificaatproviders in de gateway die is ingeschakeld voor SRST. Unified CM haalt vervolgens het certificaat op van de gateway voor ingeschakelde SRST en voegt het certificaat toe aan de Unified CM-database.
Nadat de partner de afhankelijke apparaten in Unified CM-beheer opnieuw heeft ingesteld, voegt de TFTP-server het gatewaycertificaat met SRST toe aan het bestand phone cnf.xml en verzendt het bestand naar de telefoon. Een beveiligde telefoon gebruikt vervolgens een TLS-verbinding om met de gateway voor SRST te communiceren.
Het wordt aanbevolen om beveiligde trunks voor het gesprek dat afkomstig is van Cisco Unified CM naar de gateway voor uitgaande PSTN gesprekken of traversing via de Cisco Unified Border Element (CUBE).
SIP-trunks kunnen beveiligde gesprekken ondersteunen voor zowel signalering als media; TLS biedt signaleringscodering en SRTP biedt mediacodering.
De communicatie tussen Cisco Unified CM en CUBE beveiligen
Voor veilige communicatie tussen Cisco Unified CM en CUBE moeten partners/klanten zelf ondertekende certificaten of CA-ondertekende certificaten gebruiken.
Voor zelf-ondertekende certificaten:
-
CUBE en Cisco Unified CM zelf-ondertekende certificaten genereren
-
CUBE exporteert certificaat naar Cisco Unified CM
-
Cisco Unified CM exporteert certificaat naar CUBE
Voor certificaten die door een certificeringsstantie zijn ondertekend:
-
Client genereert een sleutelpaar en verzendt een CSR (Ondertekeningsaanvraag certificaat) naar de certificeringsinstantie (CA)
-
De CA tekent deze met zijn privésleutel, waardoor een identiteitscertificaat wordt aanmaken
-
Client installeert de lijst met vertrouwde CA-hoofd- en certificaatcertificaten en het identiteitscertificaat
Beveiliging voor externe eindpunten
Voor mobiele en Remote Access (MRA)-eindpunten worden de signalering en media altijd gecodeerd tussen de MRA-eindpunten en Expressway knooppunten. Als het ICE-protocol (Interactive Connectivity Ice) wordt gebruikt voor MRA-eindpunten, is signalering en mediacodering van de MRA-eindpunten vereist. Voor de codering van de signalering en media tussen Expressway-C en de interne Unified CM-servers, interne eindpunten of andere interne apparaten is echter gemengde modus of SIP OAuth nodig.
Cisco Expressway biedt beveiligde firewall-traversal en ondersteuning aan de lijn voor Unified CM-registraties. Unified CM biedt gespreksbeheer voor mobiele en lokale eindpunten. Signalen gaan via de verbinding Expressway het externe eindpunt en Unified CM. Media gaat door de Expressway-oplossing en worden rechtstreeks tussen eindpunten door relayed. Alle media worden gecodeerd tussen Expressway-C en het mobiele eindpunt.
Voor elke MRA-oplossing Expressway Unified CM, met MRA-compatibele soft clients en/of vaste eindpunten. De oplossing kan eventueel de chat- en aanwezigheidsservice en Unity Connection bevatten.
Samenvatting protocol
De volgende tabel toont de protocollen en gekoppelde services die worden gebruikt in de Unified CM-oplossing.
Protocol |
Beveiliging |
Service |
---|---|---|
SIP |
TLS |
Sessie-sessie: Registreren, Uitnodigen, enzovoort. |
HTTPS |
TLS |
Aanmelding, inrichting/configuratie, telefoonlijst, visuele voicemail |
Media |
SRTP |
Media: Audio, video, inhoud delen |
XMPP |
TLS |
Chatten, Aanwezigheid, Federatie |
Voor meer informatie over MRA-configuratie, zie: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/expressway/config_guide/X12-5/exwy_b_mra-expressway-deployment-guide/exwy_b_mra-expressway-deployment-guide_chapter_011.html
Configuratie-opties
De speciale instantie biedt een partner de flexibiliteit om services voor eindgebruikers aan te passen via volledig beheer van configuraties op dag twee. Als gevolg hiervan is de partner als enige verantwoordelijk voor de juiste configuratie van de speciale instantieservice voor de omgeving van de eindgebruiker. Dit is inclusief, maar niet beperkt tot:
-
Het kiezen van beveiligde/onveilige gesprekken, beveiligde/onveilige protocollen zoals SIP/sSIP, http/https enzovoort en het begrijpen van gekoppelde risico's.
-
Voor alle MAC-adressen die niet zijn geconfigureerd als beveiligd-SIP in een speciaal exemplaar kan een misbruik misbruikmelding SIP-registratie verzenden met dat MAC-adres en SIP-gesprekken kunnen voeren, wat tot betaald fraude leidt. De perquisite is dat de aanvaller zijn/haar SIP-apparaat/software zonder verificatie kan registreren bij een speciaal exemplaar als hij/zij het MAC-adres kent van een apparaat dat is geregistreerd in een speciaal exemplaar.
-
Expressway-E-gespreksbeleid, transformatie- en zoekregels moeten worden geconfigureerd om betaald fraude te voorkomen. Voor meer informatie over het voorkomen van fraude met Expressways raadpleegt u Beveiliging voor de Expressway C en Expressway-E-sectie van Collaboration SRND.
-
Configuratie van belplan om ervoor te zorgen dat gebruikers alleen bestemmingen kunnen bellen die zijn toegestaan, bijv. nationaal/internationaal bellen verbieden, noodoproepen correct worden gerouteerd enz. Raadpleeg het gedeelte Belplan van Collaboration SRND voor meer informatie over het toepassen van beperkingen bij het gebruik van een belplan.
Certificaatvereisten voor veilige verbindingen in het toegewezen exemplaar
Cisco levert het domein en ondertekent alle certificaten voor de UC-toepassingen via een openbare certificeringsinstantie (CA).
Toegewezen exemplaar – poortnummers en protocollen
De volgende tabellen beschrijven de poorten en protocollen die worden ondersteund in een speciaal exemplaar. Poorten die worden gebruikt voor een bepaalde klant, hangen af van de implementatie en oplossing van de klant. Protocollen hangen af van de voorkeur van de klant (SCCP vs. SIP), bestaande apparaten op locatie en het beveiligingsniveau om te bepalen welke poorten in elke implementatie moeten worden gebruikt.
Voor het toegewezen exemplaar is de vertaling van het netwerkadres (NAT) niet toegestaan tussen eindpunten en Unified CM omdat sommige functies van het gespreksverloop niet werken, bijvoorbeeld de functie tijdens het gesprek.
Speciale instantie - Klantpoorten
De voor klanten beschikbare poorten tussen de lokale klant en de speciale instantie worden weergegeven in tabel 1 Toegewezen klantpoorten. Alle onderstaande poorten zijn voor klantverkeer door de peeringkoppelingen.
De SNMP-poort is alleen standaard geopend voor Cisco Emergency Responder om de functionaliteit te ondersteunen. Aangezien we geen ondersteuning bieden voor partners of klanten die de UC-toepassingen controleren die in de Dedicated Instance-cloud zijn geïmplementeerd, staan we het openen van de SNMP-poort niet toe voor andere UC-toepassingen.
Poorten met het bereik 5063 tot 5080 zijn gereserveerd door Cisco voor andere cloudintegraties. Het wordt voor partner- of klantbeheerders aanbevolen deze poorten niet te gebruiken in hun configuraties.
Protocol |
TCP/UDP |
Source |
Bestemming |
Bronpoort |
Bestemmingspoort |
Purpose |
---|---|---|---|---|---|---|
Ssh |
TCP |
Klant |
UC-toepassingen Niet toegestaan voor Cisco Expressway-toepassingen. |
Meer dan 1023 |
22 |
Beheer |
Tftp |
UDP |
Eindpunt |
Unified CM |
Meer dan 1023 |
69 |
Ondersteuning voor verouderde eindpunten |
LDAP |
TCP |
UC-toepassingen |
Externe directory |
Meer dan 1023 |
389 |
Adreslijstsynchronisatie met LDAP-klant |
HTTPS |
TCP |
Browser |
UC-toepassingen |
Meer dan 1023 |
443 |
Webtoegang voor self care- en beheerinterfaces |
Uitgaande mail (BEVEILIGD) |
TCP |
UC-toepassing |
CUCxn |
Meer dan 1023 |
587 |
Wordt gebruikt om beveiligde berichten te schrijven en te verzenden aan aangewezen ontvangers |
LDAP (BEVEILIGD) |
TCP |
UC-toepassingen |
Externe directory |
Meer dan 1023 |
636 |
Adreslijstsynchronisatie met LDAP-klant |
H323 |
TCP |
Gateway |
Unified CM |
Meer dan 1023 |
1720 |
Gesprekssignalering |
H323 |
TCP |
Unified CM |
Unified CM |
Meer dan 1023 |
1720 |
Gesprekssignalering |
SCCP |
TCP |
Eindpunt |
Unified CM, CUCxn |
Meer dan 1023 |
2000 |
Gesprekssignalering |
SCCP |
TCP |
Unified CM |
Unified CM, Gateway |
Meer dan 1023 |
2000 |
Gesprekssignalering |
mgcp |
UDP |
Gateway |
Gateway |
Meer dan 1023 |
2427 |
Gesprekssignalering |
Backhaul MGCP |
TCP |
Gateway |
Unified CM |
Meer dan 1023 |
2428 |
Gesprekssignalering |
SCCP (BEVEILIGD) |
TCP |
Eindpunt |
Unified CM, CUCxn |
Meer dan 1023 |
2443 |
Gesprekssignalering |
SCCP (BEVEILIGD) |
TCP |
Unified CM |
Unified CM, Gateway |
Meer dan 1023 |
2443 |
Gesprekssignalering |
Vertrouwensverificatie |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
2445 |
Vertrouwensverificatieservice aan eindpunten aanbieden |
Cti |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
2748 |
Verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager |
Beveiligde CTI |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
2749 |
Beveiligde verbinding tussen CTI-toepassingen (JTAPI/TSP) en CTIManager |
Wereldwijde LDAP-catalogus |
TCP |
UC-toepassingen |
Externe directory |
Meer dan 1023 |
3268 |
Adreslijstsynchronisatie met LDAP-klant |
Wereldwijde LDAP-catalogus |
TCP |
UC-toepassingen |
Externe directory |
Meer dan 1023 |
3269 |
Adreslijstsynchronisatie met LDAP-klant |
CAPF-service |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
3804 |
De CAPF-luisterpoort (Certificate Authority Proxy Function) voor het uitgeven van lokaal belangrijke certificaten (LSC) naar IP-telefoons |
SIP |
TCP |
Eindpunt |
Unified CM, CUCxn |
Meer dan 1023 |
5060 |
Gesprekssignalering |
SIP |
TCP |
Unified CM |
Unified CM, Gateway |
Meer dan 1023 |
5060 |
Gesprekssignalering |
SIP (VEILIG) |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
5061 |
Gesprekssignalering |
SIP (VEILIG) |
TCP |
Unified CM |
Unified CM, Gateway |
Meer dan 1023 |
5061 |
Gesprekssignalering |
SIP (OAUTH) |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
5090 |
Gesprekssignalering |
XMPP |
TCP |
Jabber-client |
Cisco IM&P |
Meer dan 1023 |
5222 |
Chatten en aanwezigheid |
HTTP |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
6970 |
Configuratie en afbeeldingen downloaden naar eindpunten |
HTTPS |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
6971 |
Configuratie en afbeeldingen downloaden naar eindpunten |
HTTPS |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
6972 |
Configuratie en afbeeldingen downloaden naar eindpunten |
HTTP |
TCP |
Jabber-client |
CUCxn |
Meer dan 1023 |
7080 |
Voicemailmeldingen |
HTTPS |
TCP |
Jabber-client |
CUCxn |
Meer dan 1023 |
7443 |
Beveiligde voicemailmeldingen |
HTTPS |
TCP |
Unified CM |
Unified CM |
Meer dan 1023 |
7501 |
Gebruikt door Intercluster Lookup Service (ILS) voor verificatie op basis van certificaat |
HTTPS |
TCP |
Unified CM |
Unified CM |
Meer dan 1023 |
7502 |
Gebruikt door ILS voor verificatie op basis van wachtwoord |
IMAP |
TCP |
Jabber-client |
CUCxn |
Meer dan 1023 |
7993 |
IMAP via TLS |
HTTP |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
8080 |
Adressenlijst-URI voor ondersteuning van verouderde endpoint |
HTTPS |
TCP |
Browser, eindpunt |
UC-toepassingen |
Meer dan 1023 |
8443 |
Webtoegang voor self care- en beheerinterfaces, UDS |
HTTPS |
TCP |
Telefoon |
Unified CM |
Meer dan 1023 |
9443 |
Geverifieerd contact zoeken |
HTTP's |
TCP |
Eindpunt |
Unified CM |
Meer dan 1023 |
9444 |
Functie voor hoofdtelefoonbeheer |
Beveiligde RTP/SRTP |
UDP |
Unified CM |
Telefoon |
16384 tot 32767 * |
16384 tot 32767 * |
Media (audio) - Muziek in de wacht, Annunciator, Software Conference Bridge (open op basis van gesprekssignalering) |
Beveiligde RTP/SRTP |
UDP |
Telefoon |
Unified CM |
16384 tot 32767 * |
16384 tot 32767 * |
Media (audio) - Muziek in de wacht, Annunciator, Software Conference Bridge (open op basis van gesprekssignalering) |
cobra's |
TCP |
Klant |
CUCxn |
Meer dan 1023 |
20532 |
Back-up maken van toepassingssuite en deze herstellen |
ICMP |
ICMP |
Eindpunt |
UC-toepassingen |
N.v.t. |
N.v.t. |
Ping |
ICMP |
ICMP |
UC-toepassingen |
Eindpunt |
N.v.t. |
N.v.t. |
Ping |
DNS | UDP en TCP |
DNS-forwarder |
DNS-servers van toegewezen exemplaar |
Meer dan 1023 |
53 |
DNS-forwarders op locatie van de klant naar DNS-servers van toegewezen exemplaar. Zie DNS-vereisten voor meer informatie. |
* Bepaalde speciale gevallen kunnen een groter bereik gebruiken. |
Toegewezen exemplaar – OTT-poorten
De volgende poort kan door klanten en partners worden gebruikt voor het instellen van Mobile and Remote Access (MRA):
Protocol |
TCP/UCP |
Source |
Bestemming |
Bronpoort |
Bestemmingspoort |
Purpose |
---|---|---|---|---|---|---|
BEVEILIGDE RTP/RTCP |
UDP |
Categorie: Expressway |
Client |
Meer dan 1023 |
36000-59999 |
Beveiligde media voor MRA- en B2B-gesprekken |
Inter-op SIP-trunk tussen Multitenant en Dedicated Instance (alleen voor trunk op basis van registratie)
De volgende lijst met poorten moet worden toegestaan op de firewall van de klant voor de op registratie gebaseerde SIP-trunk die verbinding maakt tussen de multitenant en het toegewezen exemplaar.
Protocol |
TCP/UCP |
Source |
Bestemming |
Bronpoort |
Bestemmingspoort |
Purpose |
---|---|---|---|---|---|---|
rtp/rtcp |
UDP |
Webex Calling-multitenant |
Client |
Meer dan 1023 |
8000-48198 |
Media van Webex Calling Multitenant |
Toegewezen exemplaar – UCCX-poorten
De volgende lijst met poorten kan door klanten en partners worden gebruikt voor het configureren van UCCX.
Protocol |
TCP / UCP |
Source |
Bestemming |
Bronpoort |
Bestemmingspoort |
Purpose |
---|---|---|---|---|---|---|
Ssh |
TCP |
Klant |
UCCX |
Meer dan 1023 |
22 |
SFTP en SSH |
Informix |
TCP |
Client of server |
UCCX |
Meer dan 1023 |
1504 |
Poort van Contact Center Express-database |
SIP |
UDP en TCP |
SIP GW- of MCRP-server |
UCCX |
Meer dan 1023 |
5065 |
Communicatie naar externe GW- en MCRP-knooppunten |
XMPP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
5223 |
Beveiligde XMPP-verbinding tussen de Finesse-server en aangepaste toepassingen van derden |
Cvd |
TCP |
Klant |
UCCX |
Meer dan 1023 |
6999 |
Editor voor CCX-toepassingen |
HTTPS |
TCP |
Klant |
UCCX |
Meer dan 1023 |
7443 |
Beveiligde BOSH-verbinding tussen de Finesse-server en de Agent and Supervisor Desktops voor communicatie via HTTPS |
HTTP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
8080 |
Clients voor rapportage van live gegevens maken verbinding met een socket.IO-server |
HTTP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
8081 |
Clientbrowser probeert toegang te krijgen tot de Cisco Unified Intelligence Center-webinterface |
HTTP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
8443 |
Beheer-GUI, RTMT, DB-toegang via SOAP |
HTTPS |
TCP |
Klant |
UCCX |
Meer dan 1023 |
8444 |
Cisco Unified Intelligence Center-webinterface |
HTTPS |
TCP |
Browser- en REST-clients |
UCCX |
Meer dan 1023 |
8445 |
Veilige poort voor Finesse |
HTTPS |
TCP |
Klant |
UCCX |
Meer dan 1023 |
8447 |
HTTPS - Unified Intelligence Center online help |
HTTPS |
TCP |
Klant |
UCCX |
Meer dan 1023 |
8553 |
Onderdelen voor eenmalige aanmelding (SSO) krijgen toegang tot deze interface om de bedrijfsstatus van Cisco IdS te kennen. |
HTTP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
9080 |
Clients die http-triggers of documenten/prompts/grammatica's/livegegevens proberen te openen. |
HTTPS |
TCP |
Klant |
UCCX |
Meer dan 1023 |
9443 |
Beveiligde poort die wordt gebruikt om te reageren op clients die proberen toegang te krijgen tot HTTPS-triggers |
TCP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
12014 |
Dit is de poort waar clients voor het rapporteren van live gegevens verbinding kunnen maken met de socket.IO-server |
TCP |
TCP |
Klant |
UCCX |
Meer dan 1023 |
12015 |
Dit is de poort waar clients voor het rapporteren van live gegevens verbinding kunnen maken met de socket.IO-server |
Cti |
TCP |
Klant |
UCCX |
Meer dan 1023 |
12028 |
CTI-client van derden naar CCX |
RTP (Media) |
TCP |
Eindpunt |
UCCX |
Meer dan 1023 |
Meer dan 1023 |
Mediapoort wordt naar behoefte dynamisch geopend |
RTP (Media) |
TCP |
Klant |
Eindpunt |
Meer dan 1023 |
Meer dan 1023 |
Mediapoort wordt naar behoefte dynamisch geopend |
Clientbeveiliging
Jabber en Webex beveiligen met SIP OAuth
Jabber- en Webex-clients worden geverifieerd via een OAuth-token in plaats van een lokaal significant certificaat (LSC), waarvoor ook geen CAPF-functie (Certificate Authority Proxy) is vereist. SIP OAuth, dat werkt met of zonder gemengde modus, is geïntroduceerd in Cisco Unified CM 12.5(1), Jabber 12.5 en Expressway X12.5.
In Cisco Unified CM 12.5 hebben we een nieuwe optie in Telefoonbeveiligingsprofiel die codering zonder LSC/CAPF mogelijk maakt met behulp van enkele Transport Layer Security (TLS) + OAuth-token in SIP REGISTREREN. Expressway-C-knooppunten maken gebruik van de AXL-API (Administrative XML Web Service) om Cisco Unified CM te informeren over de SN/SAN in het certificaat. Cisco Unified CM gebruikt deze informatie om het Exp-C-certificaat te valideren bij het tot stand brengen van gemeenschappelijke TLS verbinding.
SIP OAuth maakt codering van media en signalering mogelijk zonder een eindpuntcertificaat (LSC).
Cisco Jabber gebruikt Epische poorten en veilige poorten 6971 en 6972-poorten via HTTPS-verbinding met de TFTP-server om de configuratiebestanden te downloaden. Poort 6970 is een niet-beveiligde poort voor downloaden via HTTP.
Meer informatie over SIP OAuth-configuratie: SIP OAuth-modus.
DNS-vereisten
Voor Dedicated Instance biedt Cisco de FQDN voor de service in elke regio met de volgende indeling ..wxc-di.webex.com bijvoorbeeld xyz.amer.wxc-di.webex.com.
De waarde 'klant' wordt geleverd door de beheerder als onderdeel van de wizard First Time Setup (FTSW). Raadpleeg Speciale instantie-serviceactivering voor meer informatie.
DNS-records voor deze FQDN moeten kunnen worden opgelost vanaf de interne DNS-server van de klant om apparaten op locatie te ondersteunen die verbinding maken met de speciale instantie. Om resolutie te vergemakkelijken, moet de klant een Conditionele door forwarder configureren voor deze FQDN server naar de Speciale instantie DNS-service wijzen. De DNS-service van het toegewezen exemplaar is regionaal en kan worden bereikt, via de peering naar het toegewezen exemplaar, met de volgende IP-adressen zoals vermeld in de onderstaande tabel IP-adres DNS-service.
Regio/DC | Speciaal EXEMPLAAR DNS-service IP-adres |
Voorbeeld van conditionele doorsturen |
---|---|---|
AMER |
<customer>.amer.wxc-di.webex.com | |
Sjc |
69.168.17.100 |
|
Dfw |
69.168.17.228 |
|
EMEA |
<customer>.emea.wxc-di.webex.com |
|
Lon |
178.215.138.100 |
|
Ams |
178.215.138.228 |
|
EU |
<customer>.eu.wxc-di.webex.com |
|
fra |
178.215.131.100 |
|
Ams |
178.215.131.228 |
|
APJC |
<customer>.apjc.wxc-di.webex.com |
|
Zonde |
103.232.71.100 |
|
tky |
103.232.71.228 |
|
AUS |
<customer>.aus.wxc-di.webex.com | |
Mel |
178.215.128.100 |
|
Syd |
178.215.128.228 |
|
VK |
<customer>.uk.wxc-di.webex.com | |
Lon |
178.215.135.100 |
|
man |
178.215.135.228 |
De ping-optie is om veiligheidsredenen uitgeschakeld voor de bovenstaande IP-adressen van de DNS-server.
Apparaten kunnen zich niet registreren bij de speciale instantie van het interne netwerk van de klant via de peeringkoppelingen totdat de conditionele doorver forwarding is gebeurt. Conditionele doorsturen is niet vereist voor registratie via Mobile en Remote Access (MRA), aangezien alle vereiste externe DNS-records om MRA te vergemakkelijken vooraf door Cisco worden ingericht.
Wanneer u de Webex-toepassing gebruikt als softclient voor bellen in een speciaal exemplaar, moet er een UC Manager-profiel worden geconfigureerd in Control Hub voor het spraakservicedomein (VSD) van elke regio. Voor meer informatie raadpleegt u UC Manager-profielen in Cisco Webex Control Hub. De Webex-toepassing kan de toepassing van de klant in Edge automatisch Expressway, zonder tussenkomst van een eindgebruiker.
Het spraakservicedomein wordt aan de klant geleverd als onderdeel van het partnertoegangsdocument zodra de service is geactiveerd.
Een lokale router gebruiken voor DNS-omzetting van de telefoon
Voor telefoons die geen toegang hebben tot de DNS-servers van het bedrijf, is het mogelijk om een lokale Cisco-router te gebruiken om DNS-aanvragen door te sturen naar de DNS van het toegewezen exemplaar. Hierdoor hoeft u geen lokale DNS-server te implementeren en wordt volledige DNS-ondersteuning geboden, inclusief caching.
Voorbeeldconfiguratie :
!
DNS-server
ip naam-server
!
Het DNS-gebruik in dit implementatiemodel is specifiek voor telefoons en kan alleen worden gebruikt om FQDN's op te lossen met het domein van het toegewezen exemplaar van de klant.
Verwijzingen
-
Cisco Collaboration 12.x Solution Reference Network SRND(SRND), beveiligingsonderwerp: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/srnd/collab12/collab12/security.html
-
Beveiligingshandleiding voor Cisco Unified Communications Manager: https://www.cisco.com/c/en/us/td/docs/voice_ip_comm/cucm/security/12_5_1SU2/cucm_b_security-guide-1251SU2.html